-
Hack3rMinD.
User deleted
GUIDA: COME COMPORTARSI IN CASO DI INFEZIONE
Per prima cosa è bene proporre una breve descrizione delle tipologie di virus informatici:
Le backdoor sono le "porte di servizio" che consentono di superare in parte o in tutto le procedure di sicurezza attivate in un sistema informatico. Queste "porte" possono essere intenzionalmente create dai gestori del sistema informatico per permettere una più agevole opera di manutenzione dell'infrastruttura informatica mentre più spesso da cracker intenzionati a manomettere il sistema. Possono anche essere installate autonomamente da alcuni malware (come virus, worm o trojan), in modo da consentire ad un utente esterno di prendere il controllo remoto della macchina senza l'autorizzazione del proprietario. Un esempio celebre è il programma Back orifice, che attiva una backdoor sul sistema in cui viene installato, dando la possibilità a chiunque ne conosca l'indirizzo di controllare la macchina.
I keylogger sono semplici programmi o driver di periferica che rimangono in esecuzione captando ogni tasto che viene digitato e poi, in alcuni casi, trasmettono tali informazioni ad un computer remoto. Spesso i keylogger sono trasportati ed installati nel computer da worm o trojan ricevuti tramite Internet ed hanno in genere lo scopo di intercettare password e numeri di carte di credito ed inviarle tramite posta elettronica al creatore degli stessi.
Si definisce malware un qualsiasi software creato con il solo scopo di causare danni più o meno gravi al computer su cui viene eseguito. Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato letterale di "programma malvagio"; in italiano è detto anche codice maligno. Attualmente i malware vengono utilizzati per inviare grandi quantità di file non richiesti dall'utente; quest'ultimi vengono solitamente venduti agli spammer. Esiste un vero e proprio mercato nero legato ai malware: oltre alla compravendita di dati personali, è possibile acquistare l'utilizzo di computer infetti, cioè la possibilità di impiegare, per i propri fini e a insaputa dei legittimi proprietari, una certa quantità (nell'ordine delle migliaia) di computer controllati da remoto tramite una backdoor.
Spyware è un termine generico utilizzato per descrivere il software che esegue determinate operazioni, come la visualizzazione di pubblicità, la raccolta di informazioni personali o la modifica della configurazione del computer, in genere senza prima richiedere la tua autorizzazione. Lo spyware è spesso associato ad altro software per la visualizzazione di pubblicità (definito "adware") o per la registrazione di informazioni personali o riservate.
Un trojan o trojan horse (dall'inglese per Cavallo di Troia) è un tipo di malware. Deve il suo nome al fatto che le sue funzionalità sono nascoste all'interno di un programma apparentemente utile; è dunque l'utente stesso che installando ed eseguendo un certo programma, inconsapevolmente, installa ed esegue anche il codice trojan nascosto.Passiamo ora alla disinfezione. E' importante:
> agire seguendo l'ordine qui proposto
> aggiornare le definizioni virus prima di scansionare
> effettuare sempre la scansione completa
> effettuare le necessarie scansioni sempre in modalità provvisoria
Kaspersky Lab mette a disposizione uno strumento completamente gratuito, fruibile via web, battezzato Kaspersky Virus Removal Tool e conosciuto col nome di AVPTool. AVPTool consente di effettuare scansioni antivirus ed antimalware con la possibilità di rimuovere le infezioni eventualmente rilevate; risulta configurabile secondo le proprie esigenze ed è dotato di un motore di scansione che si può basare anche sull'euristica.
IMPORTANTE: AVPTool non è aggiornabile. Se si esegue AVPTool nel corso dei giorni successivi alla data di prelievo, il programma mostra un messaggio d'allerta informando l'utente che le firme virali sono da considerarsi obsolete. Sarete quindi costretti a scaricare nuovamente l'intero pacchetto d'installazione di AVPTool (pesante 70-80 MB).
PAGINA WEB UFFICIALE: http://avptool.virusinfo.info/en/
Malwarebytes Anti-Malware è un software molto leggero e di semplice utilizzo che consente di proteggere il proprio pc dalle minacce in circolazione (virus, worm, trojan, rootkit, dialer, spyware e malware di ogni genere). La versione gratuita del software permette di rimuovere i malware rilevati ma non consente l'utilizzo della protezione in tempo reale. Se non si riesce ad aggiornare il programma è possibile prelevare manualmente dal sito web del produttore le definizioni antimalware aggiornate.
PAGINA WEB UFFICIALE: www.malwarebytes.org/mbam.php
DEFINIZIONI VIRUS AGGIORNATE: DOWNLOAD
A-squared è un programma della Emisoft in grado di riconoscere più di un milione di minacce malware di ogni genere. La versione "free" integra due motori di scansione, uno sviluppato da EmiSoftware, l'altro da una società austriaca specializzata. Rispetto alla versione professionale, a pagamento, a-squared free manca del controllo in background e del meccanismo di protezione basato sull'analisi comportamentale.
PAGINA WEB UFFICIALE: www.emsisoft.com/en/software/antimalware/
Prodotto eccezionale, molto efficace, leggero, a volte "eccessivamente sicuro", nel senso che potrebbe rilevare molti falsi positivi, ed innovativo in quanto si basa sul Community Based Intrusion Prevention System (Sistema di prevenzione delle intrusioni su base comunitaria), cioè si collega ad un database comune creato dalle esperienze degli utilizzatori che sono ormai centinaia di migliaia oltre che dal team di sviluppo.
Nella versione free Prevx riesce ad individuare qualunque tipo di minaccia eventualmente presente sul sistema, tuttavia, fatta eccezione per gli adware e i rootkit che infettano il MBR, sarà necessario acquistare una licenza per provvedere all'eliminazione dei malware.
PAGINA WEB UFFICIALE: www.prevx.com/
HijackThis è un programma di dimensioni molto contenute che permette di raccogliere le informazioni più importanti sulla configurazione delle aree del sistema operativo maggiormente attaccate da parte di componenti dannosi come spyware, hijackers e malware in generale. Il vantaggio principale consiste nella possibilità di creare automaticamente un file di testo (log) che riassuma in modo particolareggiato la configurazione del sistema. In particolare, il file di log registra la configurazione e lo stato di tutte le aree del sistema operativo utilizzate dai malware per svolgere le loro pericolose attività. Analizzando il log restituito da HijackThis è quindi possibile individuare immediatamente la presenza di un componente ostile sul sistema e procedere subito alla sua eliminazione.
ATTENZIONE: Non cancellare per nessun motivo gli elementi dei quali non si conosce l'esatto significato. Il mio consiglio è quello di utilizzare Hijackthis semplicemente come uno strumento per rilevare eventuali minacce oppure per controllare se il sistema è pulito dopo aver effettuato le precedenti scansioni. Prudenza!
PAGINA WEB UFFICIALE: http://free.antivirus.com/hijackthis/?page=hijackthis
LIBRERIA DEI PROCESSI AFFIDABILI: www.processlibrary.com/it/
ANALISI LOG ONLINE:
1. HijackThis.de Logfile Analyzer
2. HijackThis Log Auto Analyzer V2
3. Help2Go Detective
Edited by Hack3rMinD - 28/10/2010, 13:53. -
Hack3rMinD.
User deleted
Spesso i programmi sopra elencati non permettono una completa rimozione di tutte le tracce lasciate dal virus nel nostro sistema o addirittura, nei casi più gravi, non riescono ad agire in maniera corretta, lasciando il nostro pc infetto. Ecco che ci vengono in aiuto i vari produttori di antivirus con dei tools specifici di rimozione, da eseguire rigorosamente in modalità provvisoria. E' importante anche disabilitare il ripristino configurazione di sistema; infatti se il pc viene infettato da un virus, è possibile che venga eseguita una copia di backup del virus stesso nella cartella utilizzata dal ripristino. Windows impedisce che questa cartella venga modificata da programmi esterni: quindi anche se facciamo una scansione con l'antivirus, questo non può andare a rilevare e cancellare i possibili virus salvati in questa cartella.
SmitFraudFix: rimuove false applicazioni anti-spyware che utilizzano falsi avvisi di sicurezza DOWNLOAD
SDFix: rimuove i virus alert e numerosi rootkit DOWNLOAD
Look2Me-Destroyer: elimina il Trojan look2me, difficile da eliminare in quanto applica tecniche di rootkit DOWNLOAD
VundoFix: rimuove molte delle varianti conosciute di Trojan.Vundo, Trojan.Conhook e altre infezioni simili DOWNLOAD
Navilog1: rimuove infezioni da alcuni tipi di malware che provocano l'apertura di popup indesiderati e falsi avvisi di protezione DOWNLOAD
Lop S&D: elimina Lop/CiD/Trojan Swizzor DOWNLOAD
EliBaglA: Il worm Bagle rimuove o danneggia Antivirus e Firewall e qualsiasi altro software per la protezione del sistema, impedisce l'accesso a qualsiasi eseguibile e in alcuni software, soprattutto nei software antivirus, darà un errore di sistema ("Win32 è un'applicazione non valida"). La modalità provvisoria (Safe Mode) viene bloccata così l'utente non ha la possibilità di eseguire delle scansioni. Nei peggiori dei casi, il bagle potrebbe disattivare pure qualche Drivers, come l'audio o semplicemente farà riavviare il pc molto spesso. Rallenta vistosamente la velocità del Pc agendo sulla Memoria Ram e impedisce agli utenti di accedere ai siti dei piu famosi antivirus e a tutti i siti microsoft. Tutte le chiavette usb e le schede di memoria che vengono inserite nel pc infetto vengono automaticamente infettate DOWNLOAD
FindyKill: altro tool per il worm Bagle e non solo DOWNLOAD
Gromozon/Linkoptimizer: I sintomi sono principalmente rallentamenti del computer, errori interni negli antivirus ed in alcune applicazioni come Autocad, riavvii del pc, reindirizzamento a pagine web non desiderate DOWNLOAD
Master Boot Record (MBR) Rootkit virus molto pericoloso che sfruttando tecniche di Rootkit si annida nell'MBR (Master Boot Record), rendendosi invisibile a qualsiasi scansione antivirus
Stealth MBR rootkit detector DOWNLOAD
Norman SinowalMBR Cleaner DOWNLOAD
Conficker/Downup/Downadup/Kido: I sintomi sono: impossibile fare aggiornamenti di Windows (Windows Update); Windows Defender disattivato; la rete è congestionata, impossibile caricare anche delle semplici pagine web; gli accessi ai siti relativi agli antivirus sono bloccati DOWNLOAD1 DOWNLOAD2
Msn Photo virus remover: programma molto semplice che esegue la scansione del sistema alla ricerca di virus presi attraverso msn DOWNLOAD
MsnCleaner: rimuove virus presi tramite msn DOWNLOAD
Clean Virus MSN: studiato appositamente per Msn Messenger, capace di eliminare più di 1500 virus DOWNLOAD
Edited by Hack3rMinD - 9/7/2010, 08:38. -
Hack3rMinD.
User deleted
Rispetto ai più noti scanner antimalware che ho indicato (malwarebytes' anti-malware, a-squared, prevx), HijackThis è un semplice programma che agisce secondo un approccio completamente diverso, concentrandosi sulle chiavi di esecuzione, sulle applicazioni in avvio automatico, sulla pagina iniziale e ad altre impostazioni del browser, che l’integrazione di Internet Explorer in Windows confonde pericolosamente con le Opzioni Internet del sistema, passando per componenti aggiuntivi ed applicazioni sconosciute.
Ecco come si presenta la pagina di configurazione:
Sezione Main: racchiude i settaggi fondamentali e le impostazioni di IE, si consiglia di lasciare tutto di default
Sezione IgnoreList: contiene la lista degli elementi che il programma deve ignorare durante la scansione
Sezione Backups: lista di tutti gli elementi bloccati, da utilizzare quando si elimina per sbaglio un elemento innocuo e spesso fondamentale per il funzionamento di Windows
Sezione Misc Tools:
> Open process manager: una specie di Task Manager con la possibilità di terminare processi considerati Malware
> Open Hosts file manager: praticissimo tool con cui potete verificare la struttura del file Hosts e modificarlo direttamente da hijackthis
> Delete a file on reboot: spesso potete incontrare dei file la cui cancellazione attraverso i mezzi convenzionali viene negata in quanto utilizzati, a tale proposito Hijckthis permette la cancellazione di questi file al riavvio del S.O.
> Delete an NT service: utility per eliminare un servizio (da usare con cautela)
> Open ADS Spy: Molti malware utilizzano dei file di tipo ADS per infettare il vostro sistema ed impedire ai normali programmi di sicurezza la loro eliminazione. Hijackthis vi permette di rimuoverli (togliete la spunta da "Quick Scan" e da "Ignore safe system info streams" prima di scansionare)
> Open uninstall manager: utile strumento per installare/disinstallare programmi
R0, R1, R2, R3 - Pagina iniziale / motore di ricerca predefinito di Internet Explorer
Aree del sistema prese di mira dagli hijackers che sostituiscono indirizzi Internet di siti web a carattere pornografico, pubblicitario, illegale, osceno alla home page ed ai motori di ricerca impostati sul sistema.
F0, F1 - Programmi avviati automaticamente da system.ini/win.ini
N1, N2, N3, N4 - Pagina iniziale/motore di ricerca predefinito di Netscape
O1 - Reindirizzamento tramite file HOSTS
Voce molto insidiosa poiché si tratta di modifiche effettuate direttamente nel file hosts, presente in C:\Windows\system32\etc\drivers\hosts e pesante pochi kb. Inquinandolo con rimandi a siti più o meno pericolosi, si devia la navigazione non solo di IE, ma in questo caso di tutti i programmi con accesso alla rete. Se non siete stati voi ad aggiungerli modificando a mano il file hosts, cancellate senza indugio le voci corrispondenti.
O DA 2 A 16: Le sigle con O seguita da un numero compreso fra 2 e 16 sono meno pericolose, qui finiscono tutti i componenti aggiuntivi per IE, a partire da quelle inutili toolbar installate da tanti utenti alle prime armi.
* O2 - Browser Helper Objects (li abbiamo conosciuti nella scorsa uscita della mailing list)
* O3 - Barre degli strumenti di Internet Explorer
* O4 - Programmi avviati automaticamente dal Registro di sistema
* O5 - Opzioni di IE non visibili nel Pannello di controllo
* O6 - Opzioni di IE il cui accesso è stato negato da parte dell'amministratore
* O7 - Accesso al registro di sistema negato da parte dell'amministratore
* O8 - Oggetti "extra" inseriti nel menù contestuale (quello che compare cliccando con il tasto destro del mouse) di Internet Explorer
* O9 - Oggetti "extra" nella barra degli strumenti di Internet Explorer o nel menù "Strumenti" del browser
* O10 - Winsock hijacker
* O11 - Gruppi aggiuntivi nella finestra "opzioni avanzate" di IE
* O12 - Plug-in di IE
* O13 - IE DefaultPrefix hijack
* O14 - 'Reset Web Settings' hijack (modifiche della configurazione di Internet Explorer)
* O15 - Siti indesideati nella sezione "Siti attendibili" di IE
* O16 - Oggetti ActiveX (alias "Downloaded Program Files")
Sigle da 017 in su: molto pericolose perché prendono di mira i parametri vitali del sistema
* O17 - Lop.com domain hijackers
* O18 - Protocolli "extra" e protocol hijackers
* O19 - User style sheet hijack
* O20, O21, O22 - Programmi eseguiti automaticamente all'avvio di Windows tramite particolari chiavi del registro
* O23 - Servizi di sistema (NT/2000/XP/2003) sconosciuti
Prima di effettuare qualsiasi azione è utile consultare i seguenti siti
LIBRERIA DEI PROCESSI AFFIDABILI: www.processlibrary.com/it/
MODULI E PROCESSI DI AVVIO AUTOMATICO: www.sysinfo.org/startuplist.php
ed eseguire delle analisi online tramite i seguenti strumenti:
HijackThis.de Logfile Analyzer
HijackThis Log Auto Analyzer V2
Help2Go Detective
ATTENZIONE: i risultati ottenuti da tali analisi sono indicativi ed abbastanza affidabili, ma non sempre esenti da errori!
Edited by Hack3rMinD - 9/7/2010, 08:37. -
Hack3rMinD.
User deleted
... . -
Hack3rMinD.
User deleted
... . -
Hack3rMinD.
User deleted
Postate qui problemi relativi ad antivirus, sicurezza online, rimozione virus ed eventuali log di hijackthis.
Edited by Hack3rMinD - 10/7/2010, 23:52. -
contino.
User deleted
Hacker ti allego il mio log di hijackthis File Allegatohijackthis.log
(Number of downloads: 228)
. -
ShadyAB.
User deleted
Ti faceva schifo la mia guida su hijackthis? . -
Hack3rMinD.
User deleted
CITAZIONE (contino @ 13/9/2010, 21:51)Hacker ti allego il mio log di hijackthis
log pulito, problema risolto con le scansioni anti-malwareCITAZIONE (ShadyAB @ 13/9/2010, 22:40)Ti faceva schifo la mia guida su hijackthis?
non l'avevo vista. -
thegame18.
User deleted
mi serve un antivirus piccolo nel senso ke occupa poka memoria ed è real time!!quale mi consigliate? . -
Crashland.
User deleted
Tutti gli antivirus sono in real time
Ti consiglio Avira Antivir in versione freeware
http://download.html.it/software/vedi/8670...free-antivirus/. -
cassanata.
User deleted
CITAZIONE (Crashland @ 23/9/2010, 15:40)Tutti gli antivirus sono in real time
Ti consiglio Avira Antivir in versione freeware
http://download.html.it/software/vedi/8670...free-antivirus/
Io uso solo questo ottimo antivirus, ho abolito il firewall dopo anni e anni di uso. -
Crashland.
User deleted
Spero per te che ne usi almeno uno hardware, il firewall è a dir poco fondamentale. . -
cassanata.
User deleted
Se ti sai muovere ne potresti anche farne a meno, rompe le scatole e ti rallenta il pc . -
Crashland.
User deleted
lascia stare, il firewall è ancora più fondamentale dell'antivirus stesso. .